Cross-Site-Scripting-Lücke gefährdet Dynamics CRM

Andre Borbe,
Microsoft Dynamics Logo (Bild: Microsoft)

Geringes Risiko: Von der Schwachstelle ist Microsoft Dynamics CRM 2013 SP1 betroffen. High-Tech-Bridge stuft die Gefahr eines Angriffs als gering ein. An einen Patch für die Lücke arbeitet Microsoft offenbar nicht.

Das Sicherheitsunternehmen High-Tech Bridge hat in Microsoft Dynamics CRM eine Schwachstelle entdeckt. Demnach können angemeldete Nutzer eine Cross-Site-Scripting-Lücke (XSS) ausnutzen, um Schadcode in Eingabefelder anfälliger Websites einzufügen. Der Browser des Nutzers führt diesen anschließend aus. In einem Video demonstrieren die Sicherheitsexperten die Schwachstelle.

Der Fehler betreffe Dynamics CRM 2013 SP1, teilte das Unternehmen mit. High-Tech Bridge stuft das ausgehende Risiko als gering ein. Dennoch sollte die Anfälligkeit ernstgenommen werden. Eine “unzureichende Filterung” von Nutzereingaben sei der Auslöser. Diese werden nach einer gescheiterten XML-SOAP-Anfrage eines Nutzers an “/Biz/Users/AddUsers/SelectUsersPage.aspx” weitergeleitet. Mit HTML- und Skript-Code lässt sich die XSS-Lücke ausnutzen.

Angreifer können per Social Engineering High-Tech Bridge zufolge einen Nutzer dazu verleiten, einen “legitimen” Text von einer manipulierten Website in die Zwischenablage zu kopieren, um ihn anschließend in eine anfällige Website einzufügen. In seinem Browser sieht der Nutzer “normalen Text”, der auszuführende Schadcode befindet sich allerdings in der Zwischenablage.

Kein Patch in Planung

Der XSS-Fehler in Dynamics CRM – das unter anderem von der US-Regierung genutzt wird – ist nach Ansicht von Microsoft keine Schwachstelle. Dennoch rät High-Tech Bridge den Zugang zum anfälligen Skript “WAF” oder die Web-Server-Konfiguration zu sperren. Im vergangenen Jahr hätten die Cross-Site-Scripting-Kampagnen zugenommen.

“Wenn man bedenkt, dass dieselben Anfälligkeiten 2014 aktiv und erfolgreich von Hackern eingesetzt wurden, dann ist diese XSS-Lücke sehr ernst”, sagte Ilia Kolocheno, CEO von High-Tech Bridge. Jedoch sei die Ausnutzung der Lücke äußerst komplex. Aus diesem Grund sei das Angriffsrisiko auch als gering eingestuft worden. Trotzdem sei es von Microsoft falsch, keinen Patch zu entwickeln. “Früher konnte man eine solche Anfälligkeit ignorieren, aber nicht 2015, vor allem nicht bei einem derartig beliebten und sensiblen Produkt wie Dynamics CRM.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de